Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Configuration d'un serveur d'application réseau Kerberos

    Cette procédure utilise les paramètres de configuration ci-dessous :

  • Serveur d'application = boston

  • admin principal = kws/admin

  • Nom de domaine DNS = example.com

  • Nom de domaine = EXAMPLE.COM

Avant de commencer

Le KDC maître est configuré. Les horloges sont synchronisées, comme décrit dans la section Synchronisation des horloges entre les KDC et les clients Kerberos. Pour tester complètement le processus, vous avez besoin de plusieurs clients.

Vous devez prendre le rôle root sur le serveur d'application. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Déterminer si un principal d'hôte existe pour le nouveau serveur.

    La commande suivante indique l'existence de l'hôte principal :

    boston # klist -k | grep host
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM

    Si la commande ne renvoie un principal, vous avez terminé. Si elle ne renvoie pas de principal, créez de nouveaux principaux en suivant les étapes ci-dessous.

  2. Connectez-vous au serveur en utilisant un des noms de principal admin créé lors de la configuration du KDC maître. 
    boston # /usr/sbin/kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin:
  3. Créez l'host principal du serveur. 
    kadmin: addprinc -randkey host/boston.example.com
Principal "host/boston.example.com" created.
kadmin:

      L'host principal est utilisé dans les cas suivants :

    • Pour authentifier le trafic lors de l'utilisation des commandes à distance, comme rsh et ssh.

    • Par pam_krb5 afin d'empêcher les attaques par mystification de KDC en utilisant l'host principal pour vérifier que les informations d'identification Kerberos d'un utilisateur ont été obtenues auprès d'un KDC de confiance.

    • Pour autoriser l'utilisateur root à acquérir automatiquement des informations d'identification Kerberos en l'absence d'un principal root. Cette fonctionnalité peut être utile lors d'un montage NFS manuel où le partage requiert des informations d'identification Kerberos.

    Ce principal est obligatoire si le trafic qui utilise l'application distante doit être authentifié à l'aide du service Kerberos. Si le serveur a plusieurs noms d'hôte associés, créez un principal à l'aide de la pour chaque formulaire FQDN nom d'hôte du nom d'hôte.

  4. Ajoutez l'host principal du serveur au fichier keytab du serveur.

    Si la commande kadmin n'est pas en cours d'exécution, redémarrez-la avec une commande similaire à la suivante : /usr/sbin/kadmin -p kws/admin

    Si le serveur a plusieurs noms d'hôte associés, ajoutez un principal au fichier keytab pour chaque nom d'hôte.

    kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
  5. Quitter kadmin. 
    kadmin: quit
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant